Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Dyer të pasme MgBot Backdoor

MgBot Backdoor

Nga MezoDyer të pasme, Kërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:

Një operacion i sofistikuar i kërcënimit të vazhdueshëm të avancuar (APT) i lidhur me Kinën i është atribuar një fushate të gjatë spiunazhi kibernetik që abuzoi me infrastrukturën e Sistemit të Emrave të Domaineve (DNS) për të ofruar derën e pasme MgBot. Fushata u përqendrua në viktima të zgjedhura me kujdes në Turqi, Kinë dhe Indi, dhe mbeti aktive nga nëntori 2022 deri në nëntor 2024.

Kundërshtari që fshihet pas operacionit

Aktiviteti është lidhur me aktorin kërcënues të njohur gjerësisht si Evasive Panda, i ndjekur edhe nën emrat Bronze Highland, Daggerfly dhe StormBamboo. Ky grup është vlerësuar të jetë operacional që të paktën nga viti 2012 dhe është i njohur për ndërhyrje shumë të synuara në vend të sulmeve të gjera dhe oportuniste.

Kundërshtari në Mes si një Taktikë Kryesore

Në zemër të fushatës ishte përdorimi i teknikave "kundërshtar në mes" (AitM). Sulmuesit manipuluan përgjigjet DNS në mënyrë që viktimat të ridrejtoheshin në heshtje në infrastrukturën nën kontrollin e tyre. Ngarkuesit e programeve keqdashëse u vendosën në vende të sakta të skedarëve, ndërsa komponentët e koduar u strehuan në servera të kontrolluar nga sulmuesi dhe u dorëzuan vetëm në përgjigje të pyetjeve specifike DNS të lidhura me faqet e internetit legjitime.

Një model i abuzimit me helmimin e DNS-së

Kjo fushatë nuk është një rast i izoluar. Evasive Panda ka demonstruar vazhdimisht ekspertizë në helmimin e DNS-ve. Hulumtimet e mëparshme nxorën në pah taktika të ngjashme në prill 2023, kur grupi ka të ngjarë të përdorë ose një kompromentim të zinxhirit të furnizimit ose një sulm AitM për të shpërndarë versione të trojanizuara të softuerëve të besueshëm, siç është Tencent QQ, kundër një OJQ-je ndërkombëtare në Kinën kontinentale.

Në gusht 2024, raportime të mëtejshme zbuluan se grupi kishte kompromentuar një ofrues të shërbimit të internetit (ISP) të paidentifikuar, duke abuzuar me përgjigjet e helmuara të DNS për të shpërndarë përditësime të softuerëve dashakeq te objektiva të zgjedhura.

Një ekosistem më i gjerë i aktorëve AitM të lidhur me Kinën

Evasive Panda është pjesë e një peizazhi më të gjerë të grupeve kërcënuese të lidhura me Kinën që mbështeten në helmimin e bazuar në AitM për shpërndarjen dhe lëvizjen e malware brenda rrjeteve. Analistët kanë identifikuar të paktën dhjetë grupe aktive që përdorin qasje të ngjashme, duke nënvizuar se manipulimi i DNS është bërë një teknikë e preferuar brenda këtij ekosistemi.

Përditësimet e softuerëve të armatosur si karrem

Në ndërhyrjet e dokumentuara, viktimat u joshën me përditësime të rreme të maskuara si softuer legjitim i palëve të treta. Një joshës i shquar imitoi përditësimet për SohuVA, një aplikacion transmetimi video nga kompania kineze e teknologjisë Sohu. Përditësimi dukej se kishte origjinën nga domeni legjitim p2p.hd.sohu.com[.]cn, duke sugjeruar fuqimisht se helmimi i DNS-it u përdor për të ridrejtuar trafikun në një server keqdashës ndërsa aplikacioni u përpoq të përditësonte skedarët binare në direktorinë e tij standarde nën appdata\roaming\shapp\7.0.18.0\package.

Studiuesit vunë re gjithashtu fushata paralele që abuzonin me përditësues të rremë për iQIYI Video të Baidu-s, IObit Smart Defrag dhe Tencent QQ.

Dorëzimi i Ngarkesës me Shumë Faza nëpërmjet Domeneve të Besueshme

Ekzekutimi me sukses i përditësimit të rremë çoi në vendosjen e një ngarkuesi fillestar që nisi shellcode. Ky shellcode mori një ngarkesë të enkriptuar të fazës së dytë të maskuar si një imazh PNG, përsëri nëpërmjet helmimit DNS, këtë herë duke abuzuar me domenin legjitim dictionary.com.

Sulmuesit manipuluan rezolucionin e DNS-së në mënyrë që dictionary.com të zgjidhej në adresat IP të kontrolluara nga sulmuesi, të përcaktuara në mënyrë selektive nga vendndodhja gjeografike dhe ISP-ja e viktimës. Kërkesa HTTP e përdorur për të marrë këtë ngarkesë përfshinte versionin e Windows-it të viktimës, duke i mundësuar me shumë mundësi sulmuesve të përshtatnin veprimet pasuese sipas versioneve specifike të sistemit operativ. Ky shënjestërim selektiv pasqyron përdorimin e mëparshëm të grupit të sulmeve të fshehta, duke përfshirë shpërndarjen e malware-it macOS të njohur si MACMA.

Si mund të jetë arritur helmimi i DNS-së

Edhe pse metoda e saktë e përdorur për të helmuar përgjigjet DNS mbetet e pakonfirmuar, hetuesit dyshojnë për dy mundësi kryesore:

  • Kompromentim selektiv i ofruesve të shërbimeve të internetit viktima, që potencialisht përfshin implante rrjeti në pajisjet periferike për të manipuluar trafikun DNS.
  • Kompromentim i drejtpërdrejtë i router-ave ose firewall-eve brenda mjediseve të viktimave për të ndryshuar përgjigjet DNS në nivel lokal.

Zinxhir i sofistikuar i ngarkuesit dhe enkriptim i personalizuar

Procesi i shpërndarjes së malware-it në fazën e dytë është qëllimisht kompleks. Kodi fillestar i shell-it deshifron dhe ekzekuton një ngarkesë specifike për viktimën, një qasje që besohet se zvogëlon zbulimin duke gjeneruar një skedar unik të enkriptuar për secilin objektiv.

Një ngarkues dytësor, i maskuar si libpython2.4.dll, mbështetet në ngarkimin anësor të një skedari python.exe të riemëruar dhe të vjetëruar. Pasi ekzekutohet, ai rikuperon dhe dekripton ngarkesën e fazës tjetër duke lexuar nga C:\ProgramData\Microsoft\eHome\perf.dat. Ky skedar përmban program keqdashës që fillimisht është enkriptuar me XOR, pastaj është dekriptuar dhe së fundmi është rienkriptuar duke përdorur një hibrid të personalizuar të API-t të Mbrojtjes së të Dhënave të Microsoft (DPAPI) dhe algoritmit RC5. Ky dizajn siguron që ngarkesa mund të dekriptohet vetëm në sistemin origjinal të viktimës, duke e komplikuar ndjeshëm përgjimin dhe analizën jashtë linje.

MgBot: Një implant i fshehtë dhe i aftë

Pas deshifrimit, ngarkesa injektohet në një proces legjitim svchost.exe, duke e zbuluar veten si një variant i derës së pasme MgBot. Ky implant modular mbështet një gamë të gjerë funksionesh spiunazhi, duke përfshirë:

  • Mbledhja dhe nxjerrja e skedarëve
  • Regjistrimi i goditjeve të tastierës dhe mbledhja e të dhënave nga clipboard-i
  • Regjistrim audio
  • Vjedhja e kredencialeve të ruajtura në shfletues

Këto aftësi u mundësojnë sulmuesve të ruajnë akses të fshehtë afatgjatë në sistemet e kompromentuara.

Një kërcënim në zhvillim dhe i vazhdueshëm

Kjo fushatë nxjerr në pah evolucionin e vazhdueshëm dhe sofistikimin teknik të Evasive Panda. Duke kombinuar helmimin DNS, imitimin e markës së besuar, ngarkuesit shumë-shtresorë dhe enkriptimin e lidhur me sistemin, grupi demonstron një aftësi të qartë për të shmangur mbrojtjet duke ruajtur aksesin e vazhdueshëm në objektiva me vlerë të lartë. Operacioni përforcon nevojën për siguri më të fortë DNS, validim të zinxhirit të furnizimit dhe monitorim të mekanizmave të përditësimit në mjedise të ndjeshme.

Në trend

Njoftim i Rëndësishëm për Mashtrimin me Email të...

Fishing, Spam
Emailet e papritura që kërkojnë vëmendje urgjente janë një armë e preferuar e kriminelëve kibernetikë. Nuk mund të theksohet sa e rëndësishme është të qëndrosh vigjilent kur mesazhet shfaqen papritur, veçanërisht ato që paralajmërojnë për probleme me llogarinë ose dokumente të publikuara rishtazi. Një kërcënim i tillë që qarkullon në internet është mashtrimi me email "Faturat po Publikohen",...

Më e shikuara

Po ngarkohet...